«Я попал в больницу. Можешь одолжить мне деньги до понедельника?» Получали такое сообщение на телефон? Значит, вы уже сталкивались с социальной инженерией. Киберпреступники все чаще используют такие методы для кражи ценных данных и ваших финансов, ведь человеческий фактор по-прежнему остается слабым звеном в любой системе защиты.
Об этом рассказали в рамках Школы финансовой безопасности для населения старшего возраста. Для участниц проекта, поддержанного Фондом президентских грантов «Суставная гимнастика 55+», была организована встреча в Центре «ЗдравИя» на тему кибермошенничества. Семинар прошел в неформальной обстановке: слушатели расположились прямо на спортивных ковриках. На мероприятии консультант по финансовой грамотности Нина Мигунова затронула важную тему финансового мошенничества.
Статистика неутешительная: мошенники каждый раз изобретают новые способы обмана населения. Нина Владимировна рассказала о методах социальной инженерии, которую используют мошенники, в том числе выдавая себя за сотрудников правоохранительных органов, банков, страховых компаний, и отсутствие времени на принятие решения. В основном мошенники используют уловки, вызывающие позитивные эмоции или тревогу. Люди, как правило, реагируют на такие хитрости и добровольно расстаются со своими сбережениями.
– Социальные инженеры тщательно подбирают ключик к психике человека, – считает руководитель Регионального центра финансовой грамотности Архангельской области Валентина Даниловская. – После обработки он доверяет только им. Главное для мошенника – создать стрессовую ситуацию и тут же предложить решение.
Рассказываем вам, какими бывают приемы и как обезопасить себя.
Что такое социальная инженерия и как она появилась?
Социальная инженерия (social engineering), или атака на человека, – психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации.
Кибермошенников, которые используют эти приемы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено – человека и давление на его чувства.
Еще в начале 1970-х годов стали появляться телефонные хулиганы, которые звонили на незнакомые номера ради шутки. Но мошенники быстро сообразили, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров, способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Самый простой пример – телефонный звонок, где злоумышленник выдает себя за кого-то другого. Например, за представителя банка или даже сотрудника правоохранительных органов. Все это делается для того, чтобы узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его.
К сожалению, многие люди продолжают верить в эти уловки и доверчиво рассказывают мошенникам все, что им нужно. А в арсенале мошенников немало техник и приемов.
Яркие примеры социальной инженерии
Желая завладеть деньгами граждан, мошенники идут на любые уловки. Они стараются вызвать к себе доверие, обещают быстрое и легкое обогащение, а потом, если это не сработало, начинают угрожать.
Прежде чем начать изводить человека звонками, социальные мошенники пытаются любым способом собрать о жертве максимум информации. Например, в социальных сетях и других базах данных. Их интересуют реквизиты банковских карт, паспортные данные, номера телефонов, адреса квартир и электронной почты, а также фотографии или копии любых документов.
Стоит помнить, что мошенники внимательно следят за новостями. К примеру, сегодня они могут представиться сотрудниками благотворительного фонда и выманить деньги «на оказание помощи пострадавшим».
Собрав всю доступную информацию, злоумышленники приступают к делу. Первая задача – вызвать у нас доверие.
– Для этого они представляются сотрудниками банка, государственных или правоохранительных органов, дальними родственниками, знакомыми, – рассказала Нина Мигунова. – Вступив в разговор, мы устанавливаем с ними контакт, и в беседе мошенник начинает нас убеждать раскрыть личные данные – сообщить реквизиты банковской карты, код из СМС- или push-уведомления.
Уже в процессе разговора они начинают эмоционально воздействовать – пугать жертву потерей денег. Начинают торопить. Потому что в спешке человек может сообщить о себе информацию, которая позволит украсть деньги.
– Если кто-то угрожает вам, принуждает и торопит с принятием решения, прекратите разговор и перезвоните в банк, – советует Нина Владимировна. – Телефон горячей линии указан на оборотной стороне карты, официальном сайте банка и в мобильном приложении. Спросите, все ли нормально с вашим счетом, и сообщите сотрудникам банка о звонке с подозрительного номера.
Как советует Нина Мигунова, соблюдение простых правил позволит вам не стать жертвой мошенников.
– Никогда не публикуйте в Интернете свои персональные данные и не переходите по сомнительным ссылкам из сообщений вашей электронной почты, – говорит она. – Не сообщайте по телефону паспортные данные, а также данные банковской карты, в том числе ее номер, срок действия и код безопасности, а также попробуйте использовать специальные мобильные приложения для определения незнакомых номеров.
Все эти примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствии определенных знаний, киберпреступники буквально «взламывают» человека.
Самые популярные методы социальной инженерии
Атака на человека может производиться по многим сценариям, но существует несколько наиболее распространенных техник работы злоумышленников, которые стоит запомнить.
Фишинг
Чувство, на котором играют: невнимательность.
Метод сбора пользовательских данных для авторизации – обычно это массовые рассылки спама по электронной почте. В классическом сценарии на почту жертвы приходит поддельное письмо от какой-то известной организации с просьбой перейти по ссылке и авторизоваться. Чтобы вызвать больше доверия, мошенники придумывают серьезные причины для перехода по ссылке: например, просят жертву обновить пароль или ввести какую-то информацию (Ф., И., О., номер телефона, банковской карты и даже CVV-код).
Троян
Чувство, на котором играют: жадность.
Вирус не зря получил свое название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится сообщение, которое обещает быструю прибыль или выигрыш, но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные.
Кви про кво
Чувство, на котором играют: доверчивость.
Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки, хотя на самом деле проблем в работе системы не возникало. Жертва верит в наличие неисправностей и, выполняя указания хакера, лично передает ему доступ к важной информации.
Претекстинг
Чувство, на котором играют: доверчивость.
Еще один прием, к которому прибегают киберпреступники, называется претекстинг. Чтобы завладеть информацией, преступник выдает себя за вашего знакомого, которому якобы необходима ваша помощь.
Социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или вашим другом, членом семьи – человеком, которому вы по умолчанию доверяете. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счета, реальную проблему, с которой она обращалась в эту службу ранее.
Как защититься?
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:
Для того чтобы уберечься от неправомерных действий мошенников, нужно прежде всего взять паузу, не принимать поспешных решений, посоветоваться с близкими или компетентными людьми и тщательно проверить информацию. Это позволит сохранить свои нервы и деньги.
Сохраняйте скептицизм и бдительность. Всегда обращайте внимание на отправителя писем и адрес сайта, где собираетесь ввести какие-то личные данные. Если есть сомнения – свяжитесь с техподдержкой или представителем организации по официальным каналам.
Не переходите на подозрительные сайты и не скачивайте сомнительные файлы, ведь один из лучших помощников социальной инженерии – любопытство.
Не используйте один и тот же пароль для доступа к внешним и рабочим ресурсам.
Установите антивирус – во всех крупных антивирусах есть встроенная проверка на вредоносные ресурсы.
Яна Кукушкина
